Monografias.com > Sin categoría
Descargar Imprimir Comentar Ver trabajos relacionados

Virus Informáticos, Caballos de Troya, Gusanos (página 2)



Partes: 1, 2, 3

 

1998 Aparecen los primeros virus de macro
para Excel y
Access

Excel es el programa de
hoja de
cálculo más utilizado del mundo y Access la
base de datos
más utilizada. Naturalmente, tarde o temprano
tenían que ser objeto de atención por parte de los creadores de
virus. El virus Laroux fue el primer virus de macro para Excel y
ha sido ampliamente copiado e imitado. Aún hoy se
sitúa entre los virus que provocan más infecciones,
tal vez porque su carga dañina es nula. El primer virus de
Access fue el
AccessiV. El virus reemplaza el macro autoexec y copia
módulos adicionales a la base de datos.
[@1]

Agosto de 1998 Aparece el primer virus de Java: el virus
Strange Brew

El virus Strange Brew es el primer virus conocido de
Java. Este virus es capaz de replicarse únicamente en caso
de que se le permita acceso a los archivos del
disco, es decir, que sólo funcionará bajo ciertas
condiciones como aplicación Java, y no como applet. No es
en absoluto peligroso e infectarse por medio de él es muy
difícil. En definitiva, las posibilidades de
extensión de este primer virus de Java son muy limitadas.
[@1]

1999 Aparecen los virus de tercera generación:
los virus de Internet

1999 fue un año decisivo en el fenómeno
vírico, ya que supuso la aparición de la llamada
tercera generación de virus
informáticos. La primera generación fue la de
los virus convencionales (virus de archivo, virus
del sector de arranque, etc.), la segunda apareció en 1995
con los virus de macro y la tercera ha aparecido en 1999 con
todos los virus capaces de viajar por medio de Internet, virus que no son
pasivos en su replicación, sino que están
diseñados para explotar los recursos de la
red para llevar a
cabo una rápida propagación.

Ejemplares como Melissa, Happy99 o Explore. Zip son
sólo ejemplos de lo que puede ser un virus de nueva
generación. El virus Happy99 fue el primer gusano de
correo
electrónico que adquirió notoriedad a principios del
año 1999. El virus I-Worm.ExploreZip (también
llamado Zipped.Files) es probablemente el más peligroso de
los gusanos del correo electrónico. Surgió a
mediados de junio de 1999 y en pocos días había
infectado numerosas redes corporativas y miles
de ordenadores en todo el mundo. La infección se
inició en los grupos de
noticias,
donde el autor del virus publicó un mensaje con una copia.
[@2]

Mayo 2000 VBS/Loveletter –alias
"ILOVEYOU"© – el gusano con mayor velocidad de
propagación de la historia

VBS/LoveLetter –alias "ILOVEYOU"– es un
gusano creado en el lenguaje
VBS (Visual Basic
Script) que se envía por IRC (Chat) y correo
electrónico. Miles de usuarios de todo el mundo
–entre los que se incluyen grandes multinacionales e
instituciones
públicas se vieron infectados por este gusano. El virus I
LOVE YOU llega al usuario en un correo electrónico que
tiene por Asunto: "ILOVEYOU" e incluye un fichero llamado
"LOVE-LETTER-FOR-YOU.TXT.vbs". La clave de la rápida
propagación de este virus, está en que utiliza la
libreta de direcciones de Outlook para reenviarse a todas las
direcciones que se encuentran en ella. Las consecuencias de este
virus y sus variantes fueron más de 3 millones de
ordenadores infectados, causando pérdidas en todo el mundo
que superan los 2.000 millones de dólares.

A esta cifra hay que añadir la que apunta
Computer Economics: 6.700 millones de dólares debidos al
descenso registrado en la productividad.
Las estadísticas confirmaron que el sector
corporativo fue el más afectado, tanto en el aspecto
Cuantitativo-número de infecciones, cómo en el
cualitativo –daños derivados de la infección.
En dichos entornos VBS/LoveLetter, además de borrar
archivos en los PCs, afectó a los servidores de
correo que sufrieron colapsos por la actividad del gusano. De
hecho, algunos servidores quedaron temporalmente fuera de
servicio
–para así evitar que siguiera
propagándose–, lo que implicó la
paralización de la actividad. [@2]

Junio 2000 VBS/Timofonica, un virus que envía
mensajes a móviles

VBS/Timo fónica es un virus de origen español
realizado en Visual Basic
Script, y que al igual

que el virus ILOVEYOU utiliza la libreta de direcciones
de Outlook para reenviarse a todas las

direcciones que se encuentran en ella. Una vez
ejecutado, el virus manda un mensaje a móviles de
telefónica, cuyo número genera de manera aleatoria,
utilizando la dirección correo.movistar.net. El virus
también crea un troyano que lleva por nombre Cmos.com, que
se ejecutará la siguiente vez que se reinicie el equipo
impidiendo que el equipo pueda volver a arrancar.
[@1]

Junio 2000 Un nuevo y complejo gusano,
VBS/Life_stages, que utiliza técnicas
de ocultamiento y posee una gran capacidad de
propagación

VBS/Life_stages es un gusano que emplea técnicas
de ocultación y posee una gran capacidad de
propagación, ya que se transmite a través de correo
electrónico; unidades de red, e IRC (Canales de Chat).
[@4]

© Ver Anexos1

Este virus se destaca por su complejidad. Utiliza el
formato SHS (Shell Scrap) de empaquetado con el objetivo de
engañar al usuario –ya que Windows, por
defecto, no muestra su
extensión real. Además, para dificultar su estudio
y detección por parte de los antivirus, el
código
malicioso está encriptado. [@4]

Se reenvía por correo electrónico
–en clientes de
Outlook–, a todos los contactos que encuentra en la libreta
de direcciones del usuario cuyo ordenador ha infectado, siempre y
cuando el número de contactos sea menor que 101. Si la
cifra es mayor, escoge, aleatoriamente, 100 direcciones y se
envía en un correo-e que tiene las características
anteriormente mencionadas. Utiliza una técnica de
ocultación para engañar al usuario y proceder a la
infección del ordenador. En concreto, y
aunque el fichero adjunto que envía tiene la
extensión "SHS" se aprovecha de que, por defecto, no se
muestre al usuario dicha extensión. Por el contrario, el
fichero aparecerá como "TXT", junto con el icono que
acompaña a los auténticos archivos con esa
extensión. Para no levantar sospechas, si no es ejecutado
desde el directorio de inicio, muestra un texto de
bromas que es, en definitiva, lo que espera encontrar el usuario
cuando abre el fichero adjunto. [@4]

Este virus presenta las siguientes
características:

Asunto: "Fw" y uno de los siguientes tres textos:
"Life Stages", "Funny" o "Jokes; o "text" Cuerpo del
mensaje
(en texto plano o en formato HTML):"The male
and female stages of life" o "Bye."

Un fichero adjunto denominado:
"LIFE_STAGES.TXT.SHS"

A partir del 2001 se puede ver un termino que engloba
cualquier programa, documento o mensaje y es el denominado
"malware", un ejemplo son los virus: Gusanos, Troyanos, el
Spam, Dialers,
las Hacking Tools, los Jokes y los Hoaxes. Son susceptibles de
causar perjuicios a los usuarios de los sistemas
informáticos-, se adapta a los avances
tecnológicos con el objetivo de difundirse mas
rápidamente. Un ejemplo de esto fue la aparición en
este mismo año del virus Nimba un ejemplo claro de esta
adaptación. [@4]

1.3- Tipos de virus
más frecuentes.

Numerosas fuentes dan
amplia información de los tipos de virus mas
frecuentes reportados a nivel mundial "…los virus macro
han ocupado los primeros lugares, mientras que las
estadísticas demuestran que son creados mas de 130
mensualmente con un índice de crecimiento superior al de
los virus del DOS, que infectan programas y
sectores de arranque. [GUADIS99]

Ejemplo:

-CONCEPT

-COLORS

-LARAUX

-GREEN STRIPE

-MACRO VIRUS DEVELOPMENT KIT

-CAP

-NIGHTSHADE

-SLOVAK DICTATOR

-ANARCHY-6093

-NAVHR

-ACCESIV

-STRANGE DAYS

-CLASS

La plataforma más afectada ha sido el Word de
Microsoft para
Windows. Se debe fundamentalmente a que lo que mas se intercambia
en el mundo es información que se encuentra contenida en
documentos
creados con este editor de textos. [GUADIS99]

"…Klez.l a protagonizado el 19,07%
de los incidentes, seguido a mucha distancia por Elkem.C (con un
porcentaje del 4,84%). Tras ello se encuentran Help (3,43%),
Sircam (2,91%), Klez.F (2,88%) y Bck/Subleven (2,13%).
[Pan-Soft]

"En los últimos 2 años los
gusanos informáticos han encabezado mes tras mes las
listas de los reportes de Afectaciones por Programas
Malignos…" [GUADIS04]

"Si en el año 2001 triplicaban
el trabajo de
los investigadores, el año pasado siguieron dando que
hacer, eclipsando a otros tipos de ataques, viéndose como
sus características subían aun 42,5% e el 2002, lo
que representa 1.789 incidentes investigados".
[Belt]

"…Muestra de los mas propagados
durante el 2003 son los siguientes:

-W 32/sobig-F (19,9%)

W 32/blaster-A (15.1%)

-W 32/Nachi-A (8.4%)

W 32/Gibe-F (7.2%)

-W 32/Dumaru-A (6.1%)

-W 32/Sober-A (5.8%)

-W 32/Mimail-A (4.8%)

-W 32/Bug Bear-B (3.1%)

-W 32/Sobig-E (2.9%)

-W 32/Klez-H (1.6%)

Los más propagados en la historia, desde sus fechas
de detección son: [GUADIS*]

-My Doom.A

-Sobig.F

-Klez.H

-Swen.A

-Netsky.B

-Yaha.E

-Dumaru.A

-Mimail.A

-SirCam.A

-Klez.E

-Melissa®

1.4- ¿Cómo atacan los virus a las PCs?
[SGT]

Una vez que el virus sea activo dentro del sistema, puede
copiarse a sí mismo e infectar otros archivos o discos a
medida que el usuario acceda a ellos. Los diversos tipos de virus
infectan los PC de maneras distintas; los tipos más
comunes son los virus de macro, de arranque y los
parásitos.

Los virus informáticos se difunden cuando las
instrucciones —o código ejecutable— que hacen
funcionar los programas pasan de un ordenador a otro. Una vez que
un virus está activado, puede reproducirse
copiándose en discos flexibles, en el disco duro, en
programas informáticos legítimos o a través
de redes informáticas. Estas infecciones son mucho
más frecuentes en los PC que en sistemas profesionales de
grandes computadoras,
porque los programas de los PC se intercambian fundamentalmente a
través de discos flexibles o de redes informáticas
no reguladas.

Los virus funcionan, se reproducen y liberan sus cargas
activas sólo cuando se ejecutan. Por eso, si un ordenador
está simplemente conectado a una red informática infectada o se limita a cargar
un programa infectado, no se infectará necesariamente.
Normalmente, un usuario no ejecuta conscientemente un
código informático potencialmente nocivo; sin
embargo, los virus engañan frecuentemente al sistema operativo
de la computadora
o al usuario informático para que ejecute el programa
viral.

Algunos virus tienen la capacidad de adherirse a
programas legítimos. Esta adhesión puede producirse
cuando se crea, abre o modifica el programa legítimo.
Cuando se ejecuta dicho programa, ocurre lo mismo con el virus.
Los virus también pueden residir en las partes del disco
duro o flexible que cargan y ejecutan el sistema operativo cuando
se arranca el ordenador, por lo que dichos virus se ejecutan
automáticamente.

® Ver Anexos1

En las redes informáticas, algunos virus se
ocultan en el software que permite al
usuario conectarse al sistema.

Los virus pueden llegar a "camuflarse" y esconderse para
evitar la detección y reparación. Como lo
hacen:

  1. El virus re-orienta la lectura
    del disco para evitar ser detectado;
  2. Los datos sobre el tamaño del directorio
    infectado son modificados en la FAT, para evitar que se
    descubran bytes extra que aporta el virus;
  3. encriptamiento: el virus se en cripta en símbolos sin sentido para no ser
    detectado, pero para destruir o replicarse DEBE
    desencriptarse siendo entonces detectable;
  4. polimorfismo: mutan cambiando segmentos del
    código para parecer distintos en cada "nueva
    generación", lo que los hace muy difíciles de
    detectar y destruir;
  5. Gatillables: se relaciona con un evento que puede ser
    el cambio de
    fecha, una determinada combinación de tecleo; un macro o
    la apertura de un programa asociado al virus
    (Troyanos).

Los virus se transportan a través de programas
tomados de BBS (Bulletin Boards) o copias de software no
original, infectadas a propósito o accidentalmente.
También cualquier archivo que contenga "ejecutables" o
"macros" puede
ser portador de un virus: downloads de programas de lugares
inseguros; e-mail con "attachments", archivos de MS-Word y
MS-Excel con macros. Inclusive ya existen virus que se
distribuyen con MS-Power Point.
Los archivos de datos, texto o Html NO PUEDEN contener
virus, aunque pueden ser dañados por estos.

Los virus de sectores de "booteo" se instalan en esos
sectores y desde allí van saltando a los sectores
equivalentes de cada uno de los drivers de la PC. Pueden
dañar el sector o sobreescribirlo. Lamentablemente
obligan al formateo del disco del drive infectado. Incluyendo
discos de 3.5" y todos los tipos de Zip de Iomega, Sony y
3M.

En cambio los virus de programa, se manifiestan cuando
la aplicación infectada es ejecutada, el virus se activa
y se carga en la memoria,
infectando a cualquier programa que se ejecute a
continuación. Puede solaparse infecciones de diversos
virus que pueden ser destructivos o permanecer inactivos por
largos periodos de tiempo.

Síntomas Típicos de una
infección

  • El sistema operativo o un programa toma mucho tiempo
    en cargar sin razón aparente.
  • El tamaño del programa cambia sin razón
    aparente.
  • El disco duro se queda sin espacio o reporta falta de
    espacio sin que esto sea necesariamente así.
  • Si se corre el CHKDSK no muestra "655360 bytes
    available".
  • En Windows aparece "32 bit error".
  • La luz del disco
    duro en la CPU continua
    parpadeando aunque no se este trabajando ni haya protectores de
    pantalla activados. (Se debe tomar este síntoma con
    mucho cuidado, porque no siempre es así).
  • No se puede "bootear" desde el Drive A, ni siquiera
    con los discos de rescate.
  • Aparecen archivos de la nada o con nombres y
    extensiones extrañas.
  • Suena "clicks" en el teclado
    (este sonido es
    particularmente aterrador para quien no esta
    advertido).
  • Los caracteres de texto se caen literalmente a la
    parte inferior de la pantalla (especialmente en
    DOS).
  • En la pantalla del monitor
    pueden aparecen mensajes absurdos tales como "Tengo hambre.
    Introduce un Big Mac en el Drive A".

En el monitor aparece una pantalla con un fondo de
cielo celeste, unas nubes blancas difuminadas, una ventana de
vidrios repartidos de colores y una
leyenda en negro que dice Windows ’98 (No puedo evitarlo,
es mas fuerte que yo…!!) [SGT]

Capítulo II: Propagación de
los virus.

2.1-Daños ocasionados por virus.
[Manson]

Se define daño como una acción indeseada, y se clasifica
según la cantidad de tiempo necesaria para reparar
dichos daños. Existen seis categorías de
daños hechos por los virus, de acuerdo a la
gravedad.

  1. Sirva como ejemplo la forma de trabajo
    del virus FORM (el más común): En el
    día 18 de cada mes cualquier tecla que presionemos
    hace sonar el beep. Deshacerse del virus implica,
    generalmente, segundos o minutos.

  2. Daños triviales.

    Un buen ejemplo de este tipo de daño es el JERUSALEM. Este virus
    borra, los viernes 13, todos los programas que uno trate de
    usar después de que el virus haya infectado la
    memoria
    residente. En el peor de los casos, tendremos que reinstalar
    los programas perdidos. Esto nos llevará alrededor de
    30 minutos.

  3. Daños menores.

    Cuando un virus formatea el disco rígido,
    mezcla los componentes de la FAT (File Allocation
    Table, Tabla de Ubicación de Archivos), o sobreescribe
    el disco rígido. En este caso, sabremos inmediatamente
    qué es lo que está sucediendo, y podremos
    reinstalar el sistema operativo y utilizar el último
    backup. Esto quizás nos lleve una hora.

  4. Daños moderados.

    Algunos virus, dada su lenta velocidad de
    infección y su alta capacidad de pasar desapercibidos,
    pueden lograr que ni aún restaurando un backup
    volvamos al último estado de
    los datos. Un ejemplo de esto es el virus DARK
    AVENGER
    , que infecta archivos y acumula la cantidad de
    infecciones que realizó. Cuando este contador llega a
    16, elige un sector del disco al azar y en él escribe
    la frase: "Eddie lives … somewhere in time"
    (Eddie vive … en algún lugar del
    tiempo).

    Esto puede haber estado pasando por un largo tiempo
    sin que lo notemos, pero el día en que detectemos la
    presencia del virus y queramos restaurar el último
    backup notaremos que también él contiene
    sectores con la frase, y también los backups
    anteriores a ese.

    Puede que lleguemos a encontrar un backup limpio,
    pero será tan viejo que muy probablemente hayamos
    perdido una gran cantidad de archivos que fueron creados con
    posterioridad a ese backup.

  5. Daños mayores.

    Los daños severos son hechos cuando un virus
    realiza cambios mínimos, graduales y progresivos. No
    sabemos cuándo los datos son correctos o han cambiado,
    pues no hay pistas obvias como en el caso del DARK
    AVENGER
    (es decir, no podemos buscar la frase Eddie
    lives …
    ).

  6. Daños severos.
  7. Daños ilimitados.

Algunos programas como CHEEBA,
VACSINA.44.LOGIN y GP1 entre otros, obtienen la
clave del administrador
del sistema y la pasan a un tercero. Cabe aclarar que estos no
son virus sino troyanos. En el caso de CHEEBA, crea un
nuevo usuario con los privilegios máximos, fijando el
nombre del usuario y la clave. El daño es entonces
realizado por la tercera persona, quien
ingresará al sistema y haría lo que
quisiera.

Los daños ocasionados por los programas malignos
son evaluados a través de las implicaciones
económicas que representan la pérdida parcial o
total de los recursos y horas hombre-máquina invertidos tanto durante el
proceso de
diseño,
puesta a punto e implantación de las aplicaciones y sus
datos, como las que se derivan de los gastos en que se
incurran durante el proceso de recuperación de un sistema
infectado. Los gastos en el proceso de recuperación
dependen de los daños ocasionados por el programa maligno
tanto en su fase de infección como en la de
activación, así como del nivel de organización en la salva de la
información que tenga el usuario. Además, existen
algunos que son difíciles de detectar y que de una forma
muy solapada alteran la información almacenada en los
discos. [SGT]

2.2-Tipos de Antivirus. [MAN97]

  • Dr. Solomon´s Antivirus
    Toolkit.

Certificado por la NCSA. Detecta más de 6.500
virus gracias a su propio lenguaje de
detección llamado VirTran, con una velocidad de
detección entre 3 y 5 veces mayor que los antivirus
tradicionales.

Uno de los últimos desarrollos de S&S es la
tecnología G. D. E. (Generic Decription
Engine, Motor de
Desencriptación Genérica) que permite detectar
virus polimórficos sin importar el algoritmo de
encriptación utilizado.

Permite detectar modificaciones producidas tanto en
archivos como en la tabla de partición del disco
rígido. Para ello utiliza Checksumms
Criptográficos lo cual, sumado a una clave personal de
cada usuario, hace casi imposible que el virus pueda descubrir
la clave de encriptación.

Elimina virus en archivos en forma sencilla y efectiva
con pocas falsas alarmas, y en sectores de buteo y tablas de
partición la protección es genérica, es
decir, independiente del virus encontrado.

Otras características que presenta este
antivirus, son:

  • Ocupa 9K de memoria extendida o
    expandida.
  • Documentación amplia y detallada en
    español y una enciclopedia sobre los virus más
    importantes.
  • Actualizaciones mensuales o trimestrales de software
    y manuales.
  • Trabaja como residente bajo Windows.
  • A. H. A. (Advanced Heuristic Analysis, Análisis Heurístico
    Avanzado).
  • Norton Antivirus.

Certificado por la NCSA. Posee una protección
automática en segundo plano. Detiene
prácticamente todos los virus conocidos y desconocidos
(a través de una tecnología propia denominada
NOVI, que implica control de
las actividades típicas de un virus, protegiendo la
integridad del sistema), antes de que causen algún
daño o pérdida de información, con una
amplia línea de defensa, que combina búsqueda,
detección de virus e inoculación (se
denomina 'inoculación' al método
por el cual este antivirus toma las características
principales de los sectores de booteo y archivos para luego
chequear su integridad. Cada vez que se detecta un cambio en
dichas áreas, NAV avisa al usuario y provee las opciones
de Reparar – Volver a usar la imagen guardada
– Continuar – No realiza cambios – Inocular – Actualizar la
imagen.

Utiliza diagnósticos propios para prevenir
infecciones de sus propios archivos y de archivos
comprimidos.

El escaneo puede ser lanzado manualmente o
automáticamente a través de la planificación de fecha y hora.
También permite reparar los archivos infectados por
virus desconocidos. Incluye información sobre muchos de
los virus que detecta y permite establecer una
contraseña para aumentar así la seguridad.

La lista de virus conocidos puede ser actualizada
periódicamente (sin cargo) a través de servicios en
línea como Internet, América On Line, Compuserve, The
Microsoft Network o el BBS propio de Symantec, entre
otros.

  • Virusscan.

Este antivirus de McAfee Associates es uno de
los más famosos. Trabaja por el sistema de scanning
descrito anteriormente, y es el mejor en su estilo.

Para escanear, hace uso de dos técnicas
propias: CMS (Code Matrix
Scanning, Escaneo de Matriz de
Código) y CTS (Code Trace Scanning, Escaneo de
Seguimiento de Código).

Una de las principales ventajas de este antivirus es
que la actualización de los archivos de bases de datos
de strings es muy fácil de realizar, lo cual, sumado a
su condición de programa shareware, lo pone al alcance
de cualquier usuario. Es bastante flexible en cuanto a la
configuración de cómo detectar, reportar y
eliminar virus.

2.3-Estado actual, nacional e internacional de los
virus.

Situación Nacional [GUADIS *]

En el país, en lo que va de año, se han
recibido algo más del doble de lo códigos malignos
recibidos el pasado año.

Hasta el momento se han detectado en Cuba:

(Actualizado 29 de Octubre del 2004)

 849 Programas malignos 

372 Virus

239 Caballos de Troya

202 Gusanos

19 Jockes

17 Exploit

 En el año 2004 se han detectado:

 234 Programas malignos 

101Gusanos

105 Troyanos

8 Virus

9 Jockes

11 Exploit

 En el año 2003 se detectaron:

 116 Programas malignos 

11 Virus

43 Gusanos

62 Troyanos

Un peligrosísimo virus creado en Cuba ha
comenzado a circular por Internet.
El virus ha sido creado por un supuesto hacker cubano
llamado "El Hobbit"
Este virus no se autoenvía masivamente como otros sino que
infesta los adjuntos de los mensajes que envía la victima
afectada, de forma que esta no nota nada raro y quien recibe el
mensaje tampoco se da cuenta que esta siendo infestado. Los
adjuntos que puede infestar son los compactados (.zip y .rar) y
las power point. (Este es el único virus hasta el momento
capaz de infestar las presentaciones de power point). La gran
efectividad de este virus consiste en que los mensajes no
despiertan sospechas pues son mensajes reales enviados de fuentes
conocidas y confiables y además los adjuntos son ficheros
reales que al abrirlos se ejecutan sin levantar sospechas y sin
que la victima se de cuenta que esta activando el virus.
(Además de que casi todo el mundo cree que las
presentaciones de power point son algo inofensivo.). El virus
como tal se llama "Libertad" pues
antes de comenzar a borrar toda la información del disco
duro muestra un cartel que clama por la libertad de
expresión en Cuba. No obstante las casas antivirus lo
llaman Worm.32_Libertad. El virus cuando se activa se instala
como un servicio con el nombre de svchost.exe de forma que la
única manera de saber si se esta o no infestado con el
mismo es ver si este servicio esta ejecutándose. La empresa de
seguridad
informática de Cuba ya ha creado una herramienta de
desinfección automática que puede ser descargada
desde su página oficial pero también ha dado copias
de la misma a CNN por lo que puede ser solicitada también
a .
[Vsantivirus]

Situación internacional.
[SGT]

La actual amenaza de los Programas malignos está
dirigida a las microcomputadoras, específicamente a las
IBM PC y compatibles que trabajan con el Sistema Operativo
Windows, y en un menor grado a las Macintosh, Amiga, Atari y
otras no compatibles.

Se ha especulado mucho sobre virus que infectan
minicomputadoras (ejemplo: los sistemas VAX) y las computadoras.
Las reglas de seguridad convencionales establecen que cualquier
computadora,
cualquiera que sea su sistema operativo y las defensas
instaladas, puede ser infectada por un creador de virus que se lo
proponga. ¿Por qué entonces han ocurrido tan pocos
incidentes de virus en sistemas de computadoras de mediano y alto
rango? Esto se debe principalmente a que hay muchas menos
computadoras y minicomputadoras en uso que microcomputadoras y el
acceso a estos sistemas es limitado. El
conocimiento profundo de los sistemas
operativos que utilizan y la arquitectura de
los mismos está limitado a una élite o
"tecnocracia" y el intercambio de software y comunicaciones
entre estos sistemas
operativos es controlado rigurosamente lo que disminuye
enormemente la posibilidad de difundir un virus. La
configuración de estos sistemas varía enormemente
por lo que no constituyen una plataforma común sobre la
que se pueda propagar un programa maligno.

Compárese esta situación con la de las IBM
PC y compatibles. En el mundo se utilizan unas 100 millones de
estas computadoras, corriendo los desprotegidos sistemas
operativos, DOS y Windows. Las localizaciones de la memoria, la
estructura de
los discos, el proceso de "bootstrap", los vectores de
interrupción, las rutinas DOS y BIOS son
estándar para todas las máquinas
independientemente del fabricante. Por lo tanto existe una enorme
plataforma común en la que se puede diseminar un virus y
una mayor cantidad de personas con el conocimiento
para utilizar o mal utilizar estas computadoras. Las
microcomputadoras son comparativamente

baratas, por lo que son asequibles a legítimos
programadores o a malvados.

Aparte de aquellas máquinas que tengan
incorporadas palabras claves para el encendido, las PC que tengan
MS-DOS no
tienen incorporadas ningún tipo de seguridad; en cuanto se
enciende la microcomputadora está abierta a la investigación o al ataque. La IBM PC es una
plataforma casi perfecta para la propagación de
virus.

Actualmente existen más de 42000 Programas
Malignos detectables por patrones de búsquedas.
Según las estadísticas aparecen con una tasa
promedio de más de 200 mensuales.

El número de variantes de virus (códigos
de virus pirateados o mejorados conocidos como mutaciones) ha
crecido de forma casi exponencial.

Esto es debido a varios factores negativos entre los que
se destacan la publicación de códigos fuentes de
virus en libros ,
revistas y en la Web , al desarrollo de
" Generadores " y a las Bases de Datos de Intercambio de Virus
(Vx).

El intercambio de información y códigos
fuentes entre los creadores de Programas malignos está
proliferando debido fundamentalmente a la existencia de sitios
destinados, en redes de alcance global como INTERNET a la carga y
descarga de colecciones completas , así como el
intercambio de herramientas y
técnicas para desarrollar códigos maliciosos
más eficientes. El análisis de la situación
internacional demuestra que son un problema de la
informática actual y que se requiere estudiar el problema,
para poder
combatirlos técnica y organizadamente.

2.4-Virus en el futuro.

"En los sistemas modernos hay demasiados
tipos de archivos ejecutables, programas que pueden acceder a los
componentes del computador.
También es muy complicado que un sistema no tenga problemas,
incluyendo agujeros de seguridad. Por todo ello, creo que los
virus seguirán existiendo aunque el entorno contemple la
seguridad basada en certificados digitales. …. Es posible
desarrollar un entorno completamente protegido por la
comprobación de firmas digitales, ¡pero los usuarios
no lo usarán!, porque un entorno de este tipo no es lo
suficientemente amigable… demasiadas limitaciones, demasiados
avisos, demasiadas preguntas."
Eugene Kaspersky.
[Moreno]

La inmensa mayoría de las infecciones
víricas actualmente se deben a infecciones por gusanos
(programas que se transmiten a través de las redes e
Internet) y troyanos (los cuales suelen ejecutar acciones
ocultas e indeseables) realizadas en su mayoría de las
veces a través del correo electrónico. Estos virus
se activan mediante la ejecución de adjuntos en el correo
electrónico o simplemente mediante la lectura de
correos recibidos con código malicioso dentro de HTML.
[Moreno]

Existe la posibilidad que en el futuro aparezcan nuevos
virus similares al Nimda o al Klez, los cuales podrán
tomar ventaja de las vulnerabilidades existentes o de las que
lleguen a presentarse. La educación y la
conciencia basada
en estrategias
adecuadas de seguridad es la única forma de prevenir los
posibles daños. Un posible colapso de la Internet (debido
a una saturación del tráfico, a causa de los virus)
no tiene tanto sustento a priori, pues sus límites
antes que ser tecnológicos tienden a ser más bien
culturales y ante una situación de esta naturaleza
todavía se tienen elementos para prevenirla.
[Moreno]

Hoy en día, dado lo sofisticado que son estos
programas, uno solo de ellos tiene la característica que
no le piden nada a sus antecesores, constituyendo de esta manera,
la principal causa de los estragos producidos. El gusano Nimda
(que llegó como troyano y destruye el sistema como un
virus) y el Klez nos abren todo un abanico de posibilidades y
sorpresas inesperadas que ponen a tambalear nuestros esquemas
clásicos de protección. [Moreno]

Virus, Troyanos, y gusanos han existido desde los
inicios de los sistemas operativos actuales y de Internet. La
contienda "virus – antivirus" ya tiene sus dos décadas y
nada nos indica que vaya a terminar. No se puede descartar, por
ejemplo, que en un futuro cercano los virus atacarán
teléfonos celulares programables y se propagarán
cuando encuentren algún vínculo abierto entre dos
aparatos. La principal vía de contagio, tal como hoy
ocurre con las computadoras, será el correo
electrónico, que ya está disponible en el mundo de
la telefonía móvil.
[Moreno]

Remarcando esto, los virus del futuro no sólo
harán blanco en computadoras y servidores sino que
serán diseñados para atacar teléfonos
celulares inteligentes y asistentes digitales personales. Estos
códigos maliciosos se prevé (esto es solamente un
escenario o conjetura muy al estilo de Julio Verne) que incluso
podrían llegar a grabar conversaciones y enviarlas
vía correo electrónico a otros usuarios sin el
consentimiento del dueño del aparato, suprimir o alterar
estados
financieros almacenados en los celulares, o incluso cambiar
los números telefónicos contenidos en la memoria de
estos artefactos y reemplazarlos con otros números de
larga distancia, con el fin de generar cuentas y
débitos de proporciones enormes.
[Moreno]

Más aún, no es descabellado (no, al menos
del todo) que las guerras del
futuro cercano entre países desarrollados tendrán
lugar entre dos redes informáticas, en las bolsas y
mercados
financieros interconectados, entre naves no tripuladas y
satélites.
De hecho, mientras el capitalismo
prevalezca y esta situación nos alcance, las armas
convencionales solamente se llegarían a utilizar con los
países subdesarrollados. [Moreno]

Si miramos un poco al futuro y pensamos en la domótica (control de edificios, casas,
etc., mediante hardware y software),
vislumbramos ya la introducción de Internet en nuestra vida
doméstica. De hecho, algunos operadores de televisión
por satélite ya pregonan la disponibilidad de Internet a
través de la
televisión. De modo que tal vez dentro de poco, junto
con nuestra televisión tengamos que comprar
algún tipo de dispositivo antivirus. Y no pensemos
sólo en la televisión, ya que otros
electrodomésticos también serán alcanzados
por los largos tentáculos de Internet.
[Moreno]

El futuro nos augura mayor número de virus y
más sofisticados, en lo que va del 2002 ya se ha alcanzado
la cifra que se tenía al cierre del año 2001.
Algunas posibles tendencias pueden ser las siguientes:
[Moreno]

  1. Gran incremento en el número de virus, gusanos
    o backdoors. La frecuencia avasalladora con que van apareciendo
    nuevas variantes de malware (códigos maliciosos) nos
    predispone a mantener una política coherente
    y adecuada de actualizaciones. A la hora de escoger un software
    antivirus se ha de tener en cuenta la capacidad de
    actualización y la velocidad de respuesta de los
    laboratorios de las empresas,
    así como las capacidades heurísticas
    (detección de posibles virus nuevos) que tengan
    integradas estos productos.
  2. Java y Actives. Ambos de estos componentes gozan
    presumiblemente de mecanismos de seguridad para evitar la
    difusión de virus pero tienen algunos agujeros (no son
    la panacea, pues de ser así, Windows XP
    sería una promesa verdaderamente mesiánica). La
    seguridad de ActiveX se basa en que sólo puede
    ejecutarse código autenticado. Eso es mejor que nada
    pero aún deja mucho que desear, no se puede apostar a
    que autenticar sea una garantía absoluta o
    infalible.
  3. Más conectividad. La demanda de
    mayor ancho de banda incrementa con cada vez más
    información en circulación. A mayor intercambio
    de información, mayor intercambio de todo tipo de
    programas o archivos incluyendo a los diversos gusanos que
    vayan surgiendo.
  4. Lenguaje de macros más potente, universal y
    manejable. Los fabricantes de software incluyen cada vez
    lenguajes de macro más potentes y sencillos de utilizar
    pero como contrapartida, más vulnerables a los ataques o
    incorporación de códigos no necesariamente
    benévolos. Aparentemente los virus de macro ya no son
    los que dominan la escena, pero bien podrían irse
    acompañando en el ciberespacio de gusanos cada vez
    más potentes (de hecho Melissa nos dio una adelanto de
    situaciones de este tipo) y de esta manera afianzar
    novedosamente su presencia.
  5. Más virus destructivos. El código
    fuente del virus CIH (capaz de sobrescribir en determinadas
    circunstancias el BIOS y dejar la máquina absolutamente
    inoperante), los más diversos kits de creación de
    virus y otras tantas linduras están al alcance de todo
    mundo en Internet. Esta información alienta a otros
    programadores de virus a generar otros, e incluso a
    auténticos aficionados ("lamercillos" y crackers) a
    sentirse como niños
    en dulcería con el simple hecho de jugar con estas
    cosas. [Moreno]

Lo anterior nos lleva a pensar (sin mucho temor a
equivocarnos) que el futuro de los antivirus está
fundamentalmente en el desarrollo sólido de la
heurística, y en la integración de éstos hacia una
estructura más sólida de software que contemple a
antivirus, cortafuegos, detectores de intrusos y
autenticación como un solo producto.
[Moreno]

El futuro, ¿o tal vez el presente?
[Urzai]

"En el futuro, todo el mundo tendrá
15 minutos de fama", con estas palabras del pintor norteamericano
Andy Warhol comienza un estudio de Nicholas C. Weaver de la
universidad de
Berkeley titulado "Warhol worms: The Potential for Very Fast
Internet Plagues
", que podrá
encontrar en [].

En este estudio se describe, de forma hipotética,
como podrían ser los gusanos de siguiente
generación, a los que denomina "Warhol" y "Flash". Unos
virus capaces de infectar todos los ordenadores vulnerables de
Internet en menos de 15 minutos.

El estudio demuestra que las técnicas que
utilizan los gusanos actuales para propagarse son extremadamente
ineficientes. En cambio, según este estudio, los "gusanos
Warhol" utilizarían técnicas altamente optimizadas
para buscar ordenadores vulnerables: "hitlist
scanning
" (lista de servidores
vulnerables elaborada previamente) para la propagación
inicial y "permutation scanning"
(técnica que intenta encontrar todos los ordenadores
vulnerables en el menor tiempo posible) para conseguir propagarse
de forma auto-coordinada y completa.

El principal problema de este tipo de gusanos es que
causaría el daño máximo antes de que fuese
posible la respuesta humana. Para cuando los laboratorios de las
casas antivirus fuesen capaces de desarrollar, probar y poner a
disposición de los usuarios la solución, el virus
ya habría terminado su trabajo.

A pesar de que afortunadamente en la actualidad los
gusanos todavía no emplean este tipo de técnicas
para propagarse, en Enero de 2003 el virus SQLSlammer
infectó 100.000 ordenadores vulnerables en menos de media
hora, y la mayor parte de ellos en los 15 primeros minutos. El
SQLSlammer no es propiamente un gusano de tipo Warhol,
pues no utiliza las técnicas descritas en el estudio, pero
aún así, consiguió demostrar que es posible
crear un virus que se propague a todos los ordenadores
vulnerables en un tiempo tan corto que no es viable la respuesta
humana.

Se puede concluir que el futuro de la seguridad
informática necesita un nuevo enfoque. Las amenazas son
cada vez mayores y más rápidas, obligando a que las
empresas antivirus redoblen esfuerzos y reaccionen cada vez
más rápidamente para evitar las epidemias. Las
actuales soluciones de
seguridad son extremadamente eficientes combatiendo amenazas
conocidas, pero la exigencia es cada vez mayor y el hecho de que
las actuales soluciones de seguridad sean inherentemente
reactivas, supone una pérdida de tiempo que ahora puede
ser vital. Es necesario ser también proactivos y
adelantarse al problema.

La proactividad en la seguridad informática se
debe basar en combatir las nuevas amenazas que acechan a los
sistemas sin necesidad de conocer previamente cuáles son.
Los comportamientos de los códigos maliciosos deben poder
preverse, pero para ello no es suficiente la tecnología
actual, es necesario analizar directamente el protocolo
TCP/IP,
descubrir intentos de desbordamientos de buffer, inyecciones de
código, cubrir nuevos vectores de propagación,
etc…

Dentro de las tecnologías proactivas, destacan
las de análisis de comportamiento, que en pruebas reales
han demostrado ser muy efectivas contra virus y otras amenazas
desconocidas. Gracias a estas tecnologías los usuarios,
podrán contar en breve con soluciones que no exijan una
reacción, sino que se adelantarán a la amenaza de
malware que intenta llevar a cabo acciones maliciosas.

También dentro de poco podríamos asistir a
nuevos escenarios de infecciones víricas; La convergencia
de tecnologías que se está produciendo hoy en
día conseguirá que dentro de poco no podamos
distinguir dónde termina un ordenador y dónde
comienza un teléfono, o si la propagación de un
virus se produce a través de una red inalámbrica o
mediante conexiones directas entre dos
sistemas.

Capítulo III: Caballos de
Troya

3.1-¿Que son los Caballos de
Troya?

Un Caballo de Troya es un programa ideado para que, bajo
una apariencia inofensiva y útil para el usuario, afecte
muy negativamente al sistema al incluir un módulo capaz de
destruir datos. Junto con los virus es uno de los tipos de
programas malignos más conocidos y empleados. Por su
similitud en la forma de operar le debe su nombre al famoso
caballo de la mitología
griega.

El caballo de Troya era un enorme caballo de madera que los
griegos dejaron a las puertas de Troya como oferta de paz
después de una larga batalla. Los troyanos abrieron sus
puertas e introdujeron tal obsequio en la ciudad. Sin embargo, al
caer la noche, un grupo de
griegos salió de su interior y abrieron las puertas de
Troya para que su ejército la invadiese. Bien, pues un
caballo de Troya en informática es lo mismo. Mucha gente
los confunde con los virus o con otros programas malignos, pero
un Caballo de Troya es un programa que, bajo la apariencia de una
aplicación útil para el usuario (el caballo de
madera), es diseñado deliberadamente para llevar dentro de
sí cierto código dañino (los soldados de su
interior).

Se diferencian de los populares virus en que estos
últimos infectan cualquier programa del ordenador
sin que el programa anfitrión tenga nada que ver con el
virus. Además, al contrario que los virus, los caballos de
Troya no se reproducen. [Prieto03]

Cuando un usuario poco precavido recibe un caballo de
Troya no se da cuenta del peligro hasta que se ha producido el
daño. Generalmente se recibe un programa con un nombre
sugerente: Información SIDA, Comecocos,
Quinielas… y al ser ejecutado o tras cierto número de
ejecuciones se empiezan a realizar las acciones para las que en
realidad dichos programas fueron diseñados, como por
ejemplo destruir los datos del ordenador; Incluso llegaron a
circular algunos programas antivirus que en realidad son Caballos
de Troya, como las versiones 78 y 79 del popular Scan. Un caballo
de Troya muy conocido fue el denominado SIDA. Distribuido como
información divulgativa sobre la enfermedad, atacaba
ferozmente las máquinas en las que era ejecutado.
[Prieto03]

Con el advenimiento de Internet, los Caballos de Troya
en forma de mensajes con contenidos útiles o divertidos
destruyen la información del disco del receptor
aprovechando agujeros de seguridad del sistema. El caso
más conocido fue el I Love You.
[Prieto03]

Un tipo de Caballos de Troya beneficiosos son aquellos
que, aprovechando la inexperiencia e inconsciencia del usuario
que ejecuta alegremente programas no solicitados, presentan en
pantalla mensajes simulando el borrado de datos para, finalmente,
burlarse del usuario por su estupidez y recomendarle que en
futuro sea más cuidadoso con los programas que ejecuta en
su ordenador. Su fuerza
didáctica está fuera de toda duda.
[Prieto03]

Un pariente muy cercano de los caballos de Troya son los
camaleones, con los que a veces son confundidos.
[Prieto03]

Hay mucha controversia sobre lo que es un troyano. Mucha
gente confunde virus con troyanos, y ni mucho menos se parecen.
En realidad no tienen nada en común. El virus es
destructivo (salvo raras excepciones), actúa de forma
premeditada y su acción es siempre la misma en todos los
ordenadores que infecta. En cambio el troyano no se comporta
así. [Mandrake]
Podemos afirmar que un troyano no es ni benigno ni
maligno. Sencillamente no está programado para destruir
nada en el ordenador infectado. No podemos hablar entonces de una
amenaza en el propio software. En el caso del troyano la
malevolencia viene de la persona que
lo utiliza. [Mandrake]

El nombre troyano proviene de la Guerra de
Troya, que fue un instrumento de guerra usado por los griegos
para acceder a la ciudad de Troya. Según cuenta la
historia, "al pasar diez años de la guerra troyana, los
griegos todavía no podían entrar en la ciudad de
Troya porque las paredes de la ciudad la hacían
impenetrable. Así, desarrollaron un caballo gigante de
madera en el que un puñado de griegos armados se
escondieron mientras el resto de los griegos abordaron los barcos
y zarparon dejando atrás el caballo como regalo de
Victoria. Luego de la gran celebración de los troyanos, en
la cual se emborracharon, los griegos que estaban dentro del
caballo salieron, mataron a todos los centinelas que estaban en
las puertas de la ciudad y abrieron las puertas para que entrara
un carnicero ejército griego".
[Mandrake]

Un troyano es entonces un programa malicioso insertado
en un PC sin consentimiento de su dueño que permite el
control de ese PC y/o el acceso a sus datos por parte de una
persona no autorizada.[ Mandrake]

Un troyano puede ser una de las siguientes
cosas:

  • Instrucciones no autorizadas dentro de un programa
    legítimo. Estas instrucciones ejecutan funciones
    desconocidas al usuario y casi seguramente no deseadas por el
    mismo.
  • Un programa legítimo que ha sido alterado por
    la colocación de instrucciones no autorizadas dentro del
    mismo, probablemente como consecuencia del ataque de un virus.
    Estas instrucciones ejecutan funciones desconocidas al usuario
    y casi seguramente no deseadas por el mismo.
    [Mandrake]
  • Cualquier programa que aparentemente haga una
    función deseable y necesaria pero que no
    la cumpla y/o contenga instrucciones no autorizadas en el
    mismo, las cuales ejecutan funciones desconocidas para el
    usuario. Cualquier programa que contenga otro subprograma con
    instrucciones no deseadas o virus. Cualquier programa que
    permita operaciones de
    monitoreo y/o control remoto del computador sin conocimiento
    del usuario. Este tipo de programas son llamados también
    "Backdoor" lo que se traduce a Puerta Trasera.
    [Mandrake]

Los troyanos funcionan mejor en computadores sin muchas
restricciones para los usuarios, ya que en ambientes restringidos
no pueden hacer mucho daño; sin embargo, en los ambientes
de servidor, que son
muy restringidos pero hay troyanos que han sido muy
dañinos. [Mandrake]

A diferencia de los virus, los caballos de Troya o
troyanos están diseñados para obtener
información privilegiada del ordenador donde son
ejecutados. Así pues existen troyanos que
únicamente consiguen contraseñas, otros que graban
secuencias metidas en el teclado, otros que abren puertas
traseras al ordenador, etc. [Bustamante]

Bueno pues un troyano es un programa simple que facilita
el control remoto de un ordenador, se les incluye dentro de la
denominación "malware" y realmente no son más que
aplicaciones de gestión
remota, que al ser totalmente gratuitos, al contrario que otros,
están muy difundidos y suelen utilizarse para el acceso a
otros ordenadores sin el permiso de sus dueños a
través de la red. [Duiops]

La primera puntualización que me gustaría
hacer es que a esos programas que hacen exactamente lo mismo pero
son comerciales no se los considera como peligrosos mientras que
los demás son considerados como herramientas de hacker y
los eliminan los antivirus.
[Duiops]

La segunda es que aunque permitan manejar otros
ordenadores es necesario que estos tengan un pequeño
servidor ejecutándose en ellos, para ello cuentan con un
pequeño instalador que se encarga de modificar el registro de
Windows para que los ejecute cada vez que se arranca
Windows. [Duiops]

Normalmente suelen ocultar su presencia, de forma que el
servidor carece de cualquier cosa visible y ni siquiera se puede
ver en la lista de tareas.
[Duiops]

3.2-Daños ocasionados por los caballos de
Troya

El enemigo en casa
[Jaime]

La información que intercambia un servidor Web
seguro y un
navegador se cifra utilizando un algoritmo de clave
pública. Este método asegura la confidencialidad de
los datos y su integridad, además de confirmar la identidad del
servidor Web. Muchos bancos ofrecen un
servidor seguro a sus clientes para realizar todo tipo de
operaciones bancarias. Entonces, ¿cómo es posible
que un pirata informático conozca las claves de acceso a
su banco, las
transferencias que usted a realizado y su número de Visa?
En primer lugar, hay instalado un caballo de Troya en su
ordenador; en concreto, la parte del servidor. Una de las nuevas
características de estos programas consiste en volcar toda
la información que se introduce a través del
teclado en un fichero. Absolutamente todo. Por ejemplo, cuando
usted teclea su número de Visa para realizar una compra a
través de un servidor seguro, los datos viajan cifrados
por la Red, pero no entre su teclado y el navegador. Y es
ahí dónde está escuchando el caballo de
Troya. El atacante se sienta a esperar a que usted escriba la
clave de acceso a su ISP, la de su buzón de correo, su
clave PGP, etc. No tiene ninguna prisa, ya que el caballo de
Troya trabaja discretamente, sin que usted note nada. Hasta que
le llegue la factura del
banco.

El equipo de delincuencia
informática de la Guardia Civil necesita, en muchos casos,
la colaboración de los proveedores de
acceso a Internet. Los ficheros donde quedan reflejados el
identificador y el número de teléfono asociados a
una IP determinada
y a una hora determinada, son fundamentales para conocer la
identidad de las personas que han cometido delitos en la
Red. Cuando usted inicia una conexión en la Red a
través de su ISP, sus datos quedan asociados a una
dirección IP. En principio, todos las acciones que se
realicen durante esa conexión son responsabilidad suya. Un pirata informático
puede ocultar su verdadera dirección IP utilizando
sofisticadas técnicas de ocultación, pero estos
métodos
son complicados y poco flexibles. Parece más sencillo
utilizar la conexión que usted acaba de establecer, con
una flamante dirección IP que le identifica solamente a
usted.

Los nuevos caballos de Troya permiten encauzar todo el
tráfico que llega a un puerto hacia otra máquina y
otro puerto. Por ejemplo, el atacante configura su PC para que el
puerto 80 de su máquina conecte con el puerto 80 de
www.idg.es. Recuerde que los servidores Web escuchan por el
puerto 80. Esto significa que si el atacante escribe en su
navegador la dirección IP que tiene en ese momento
asignado su PC, se conectará con el Web de IDG. Para el
servidor Web, la IP que está solicitando sus
páginas HTML es la suya. Cualquier fechoría que
cometa el pirata en ese servidor, aparecerá como realizada
desde su conexión. Y, por último, consultando a su
PSI, reflejará su nombre y apellido. Usted no
notará nada, hasta que reciba la visita de la
policía judicial.

Aunque no lo parezca [Jaime]

La gran baza de los nuevos caballos de Troya reside en
su sigilosa forma de actuar. El programa servidor casi no consume
recursos. Cada vez que se arranca el PC, el troyano se ejecuta de
forma automática y se queda residente en memoria. Un
pequeño proceso que apenas consume un 1% de CPU, pero que
abre las puertas del ordenador —una vez conectado a la
Red— a cualquiera que tenga instalado la parte cliente del
caballo de Troya en su máquina .

A esto debemos añadir otras dos
características que convierten a estos "virus" en
verdaderas amenazas para los amantes de Internet. La primera
consiste en lo fácil que resulta engañar a la
víctima para que instale el caballo de Troya en su
máquina (en el cuadro "Uso obligatorio del casco" se
explican los métodos utilizados para introducir el troyano
en un PC de forma silenciosa) . La segunda característica,
y quizá la más peligrosa, consiste en la enorme
facilidad de manejo de la parte cliente del virus. La
aplicación que maneja el atacante, aquella que se conecta
al servidor que corre en el PC de la víctima, tiene una
pasmosa sencillez de uso . Ahora, cualquier chaval que sepa jugar
al Doom, tiene en sus manos todos los recursos de un ordenador
infectado.

Los nuevos caballos de Troya son una amenaza constante
para aquellas personas que estén utilizando sistemas
operativos de Microsoft, en especial para Windows 95/98. La
rapidez de difusión de los troyanos pensados para esas
plataformas se debe a dos razones: la mayoría de los
ordenadores utilizan sistemas Microsoft y sus caballos de Troya
cumplen de sobra las características antes indicadas. Se
cuentan por centenas de miles las copias de los caballos de Troya
para plataformas W95/98/NT. Vamos a conocer, a través de
los dos troyanos más difundidos, los rasgos comunes de
ambos virus, sus diferencias y su particular forma de
trabajar.

  • Caballos de pura sangre
    [Jaime]

NetBus y Back Orifice tienen muchos puntos en
común. Ambos son caballos de Troya basados en la idea de
cliente-servidor. Han sido creados para sistemas Microsoft, pero
Back Orifice sólo funciona en Windows 95/98, mientras que
NetBus también lo hace sobre NT. El programa servidor, en
ambos casos, debe ser instalado en el ordenador de la
víctima. Como se ha explicado, esta tarea se ha
simplificado, ya que el atacante puede ocultar el troyano dentro
de cualquier programa o aplicación . Incluso puede mandar
el virus por correo y ser instalado con sólo abrir el
mensaje (ver artículo "Las verdades del correo
electrónico" en iWorld, febrero 1999). Una vez instalado,
el servidor abre un puerto de comunicaciones y se queda
escuchando las peticiones del oyente. Es decir, los comandos que le
envía el programa cliente que está utilizando el
atacante desde su ordenador remoto. NetBus abre un puerto TCP,
mientras que Back Orifice utiliza un puerto UDP. Se puede cambiar
el número del puerto por el que atiende el servidor en
ambos casos. También se puede proteger el acceso al
servidor mediante una clave. De esta forma, ya no es suficiente
con tener instalado el cliente del Troya y conocer la IP de la
máquina infectada. También será necesario
conocer la clave que autoriza el acceso al servidor.

Ya se ha indicado una de las grandes diferencias entre
estos dos troyanos: Back Orifice no corre en Windows NT.
Por otra parte, Back Orifice es capaz de cifrar la
comunicación entre el cliente y el servidor, algo que
no hace NetBus. En cambio, este último permite ciertas
lindezas adicionales, como abrir y cerrar la unidad de CDROM o
modificar las funciones de los botones del ratón. Otra
diferencia importante es el tamaño del servidor. La
última versión del servidor de NetBus (NetBus Pro
2. 0) supera los 600 Kb, mientras que el servidor Back Orifice 1.
2, sólo ocupa 122 Kb. El tamaño resulta importante
cuando el atacante quiere ocultar el caballo de Troya dentro de
una aplicación. Resulta menos sospechoso un aumento de 122
Kb que uno de 600 Kb, con respecto a la aplicación
original. Por último, la versión más
reciente de NetBus presenta nuevas opciones, pero es su nueva
ventana de gestión del cliente, con ayuda en línea
incluida, donde marca la
diferencia con respecto a Back Orifice. La instalación y
la aplicación resultan tan profesionales, que su frase de
presentación casi parece cierta: "NetBus Pro es una
herramienta para la
administración remota de ordenadores, de fácil
uso y con un amigable entorno de gestión".

¿Creados para utilizar la Red?
[Jaime]

¿Por qué los fabricantes de
automóviles invierten tantos millones en mejorar la
seguridad de sus nuevos modelos?
Sencillamente, sus clientes son conscientes del riesgo que
entraña conducir un coche, y exigen vehículos
más seguros. Los
fabricantes construyen sus automóviles pensando en los
azares de la conducción. Si usted no saca nunca del garaje
su coche, estará seguro de no sufrir ningún
accidente de tráfico. Pero entonces, ¿para
qué necesita el coche? ¿Para dar envidia al vecino?
Microsoft afirma que Windows 95 y Windows 98 han
sido creados pensando en Internet. En especial, Windows 98 "hace
más fácil el acceso a Internet y al mundo de la
comunicación digital". Cierto, más
fácil y mucho más peligroso que con otros sistemas.
Los nuevos caballos de Troya aprovechan las enormes facilidades
de acceso a los recursos del sistema que ofrece W95/98. El
programa servidor tiene control sobre todos los elementos del PC:
dispositivos, ficheros, protocolos de
red, etc. Estos troyanos muestran (y demuestran ) que cualquier
aplicación que usted instale sobre W95/98, cuyo
código fuente casi nunca se facilita, puede ser una puerta
abierta a los delincuentes informáticos . Visite esta
página para conocer lo que se esconde dentro de sus
aplicaciones preferidas: www .
cnet. com/Content/Features/Howto/Eggs.

Internet, por su propia naturaleza, es inseguro. Igual
ocurre con la red viaria. Por eso los automóviles son cada
vez más seguros. En cambio, la plataforma que más
se utiliza en Internet, pensada para trabajar en redes de
ordenadores y anunciada como la mejor solución para
conectarse a la Red, se parece a un coche sin parachoques,
cinturones de seguridad, o airbag . Las maniobras peligrosas,
como el comercio
electrónico, deben hacerse con mucho cuidado . Pero si
usted utiliza W95/98, debe extremar las precauciones —vea
el cuadro "¿Cuántos caballos tiene su
ordenador?"—si no quiere tener un serio accidente en la
Red. Los usuarios que viajan por las autopistas de la
información con vehículos muy poco preparados,
pensando que están usando un sistema seguro, son los
primeros objetivos de
los piratas informáticos.

¿Cuántos caballos tiene su ordenador?
[Jaime]

Su ordenador puede estar infectado con uno o varios
caballos de Troya. Los nuevos troyanos conviven en un mismo PC
sin ningún problema. Hemos instalado Back Orifice y dos
versiones distintas de NetBus en la misma máquina, y los
tres servidores funcionaban perfectamente. Por fortuna, cualquier
persona tiene a su alcance las herramientas necesarias para saber
si tiene un caballo de Troya instalado en su
ordenador.

Los procedimientos
que se van a explicar no reemplazan a un buen programa antivirus.
Al contrario, son el complemento ideal a su labor de
protección y desinfección. Por ejemplo, el
antivirus que utilizamos en nuestro laboratorio
detecta a Back Orifice, pero no a NetBus. Aquí tiene las
claves para saber, por sí mismo, si su ordenador
está libre de esos caballos de Troya. Y, en caso
contrario, cómo librarse de ellos.

Tanto NetBus como Back Orifice se arrancan
automáticamente al iniciar Windows. Y los dos abren un
puerto de comunicaciones para recibir las peticiones de los
clientes . Por tanto, tenemos un proceso ejecutándose
continuamente en nuestro ordenador y un puerto de comunicaciones
siempre abierto . Para descubrir ese proceso, puede utilizar
WinTop, una estupenda utilidad que
ofrece Microsoft dentro de un paquete llamado ‘Kernel
Toys’ . WinTop está indicado para W95, pero
también corre en W98. La puede encontrar aquí: www.
microsoft. Com/windows/downloads/bin/W95KRNLTOYS. EXE

WinTop muestra los procesos que
están corriendo en su máquina y le permite
identificar los ejecutables sospechosos (además de
ofrecerle una nueva visión de lo que se cuece en su PC).
Con respecto al puerto de comunicaciones abierto por el caballo
de Troya, la herramienta más indicada para descubrirlo es
netstat, sobre todo para puertos UDP (el utilizado por Back
Orifice). Abra una ventana DOS y ejecute este comando: netstat
–an | find " UDP ". Si la respuesta de este programa
muestra actividad, sobre todo en el puerto 31337 (el puerto por
defecto donde escucha Back Orifice) , es muy probable que su
máquina esté infectada . Además de netstat,
para revisar los puertos TCP (en busca de NetBus) puede usar
HAR’s Protector:

www.
harcon . Net/protector. htm .
Esta
pequeña utilidad controla todos los puertos de su
máquina, tanto TCP como UDP . NetBus utilizaba, en las
versiones antiguas, el puerto TCP 12345 . Netbus Pro utiliza
ahora el 20034, pero el atacante puede configurar el servidor
para que escuche por cualquier puerto. Por tanto, se deben
controlar todas las conexiones, y HAR’s Protector lo
hace.

Si ha encontrado algún proceso sospechoso o
algún puerto abierto que no debería estarlo, el
siguiente paso consiste en buscar en el registro de Windows. La
manipulación del registro de Windows es siempre una tarea
delicada. Estas dos páginas le ayudarán, paso a
paso, a detectar la presencia de Back Orifice y Netbus. Y le
explican, con la ayuda de estupendos gráficos, qué debe buscar y
cómo debe modificar el registro . Para Back Orifice,
visite www.
nwinternet . com/~pchelp/bo/findingBO . htm .
Y
para Netbus, visite www.
nwinternet . com/~pchelp/nb/netbus . htm

Si no se atreve a modificar el registro o no está
muy seguro de la calidad de la
limpieza realizada, debe acudir a programas comerciales: Panda
Antivirus, Norton Antivirus, Mcafee VirusScan, etc.
También existe la posibilidad de utilizar un programa no
comercial, pero siempre bajo su propia
responsabilidad.

Como ejemplo, BoDetect ( www . spiritone
. com/~cbenson/current

_projects/backorifice/backorifice . htm ) encuentra y
elimina cualquier instalación de Back Orifice . Por lo
menos, así lo asegura su autor.

Uso obligatorio del casco [Jaime]

Los trabajadores de la construcción son conscientes de los
peligros asociados a su actividad profesional. No respetar las
normas de
seguridad cuando se trabaja en una obra, significa asumir grandes
riesgos para
la integridad física. Por ejemplo,
el uso del casco es obligatorio para todo el personal de la obra.
Si usted se dedica a levantar rascacielos, debe utilizar siempre
el casco.

De igual forma, si usted navega por la Red, debe
instalar y mantener actualizado un buen antivirus. Merece la pena
repetirlo: si se conecta a Internet tiene que utilizar un
programa antivirus. Los caballos de Troya pueden llegar a su
ordenador de muchas formas: a través de la Red, en el
CD de regalo
de su revista
favorita, en esa aplicación comercial que le han dejado
probar, etc. No piense que está a salvo por utilizar un
sistema operativo distinto a W95/98/NT.

Todas las plataformas tienen sus propios caballos de
Troya. Un poco menos conocidos que Back Orifice o NetBus, pero
igual de peligrosos. Aquí tiene una referencia para dos
plataformas muy conocidas.

MacOS: webworlds . co . uk/dharley/anti-virus/macvir .
faq

UNIX: www . cyber .
com/papers/networks . html

Aunque la peor parte se la llevan los usuarios de
sistemas Microsoft. Piense que en sólo siete meses han
aparecido cuatro nuevas versiones de NetBus. O que se han
escritos varias herramientas para Back Orifice que permiten
ocultarlo dentro de cualquier programa. La aplicación
resultante instala el troyano en primer lugar y seguidamente el
programa original. También pueden mandar un correo al
atacante (o un mensaje a un canal de IRC), anunciando la
dirección IP del ordenador infectado cada vez que se
conecte a la Red. Visite la dirección www .
cultdeadcow . com/tools/bo_plugins . html
si
desea conocer todos estos ‘plugins’ para Back Orifice
. Estos troyanos se han difundido de tal manera que ya han
aparecido programas que no sólo eliminan el virus del
ordenador, sino que pasan al ataque. Localizan la
dirección IP del PC que está ejecutando la parte
cliente y tratan de dejarle fuera de juego. Contra
Netbus se ha creado Net búster members . tripod .
com/deltasitez/netbustertext . html y BackFire surf . to/leebros
aparece, a modo de venganza, contra Back Orifice .

Pero no se confunda, la verdadera solución contra
los virus en general y los caballos de Troya en particular,
reside en la protección que nos ofrecen los antivirus
comerciales. Sobre todo para plataformas tan poco seguras como
Windows 95 o 98. Por favor, no salga a Internet sin una buena
armadura. [Jaime]

Vayamos al punto mas importante la introducción,
estos programas como ya he dicho llevan un pequeño
instalador de forma que una vez ejecutado sin ninguna advertencia
se instalan, pero hay que ejecutarlos, la mayoría de las
veces suelen llegar por el irc o en algún correo y como
ejecutamos todo si fijarnos lo instalamos sin darnos ni cuenta,
solo nos extrañamos al ver que al ejecutarlo no pasa
nada.

Otra opción es que venga junto con otro programa,
esto se realiza con una serie de programas gratuitos que
consiguen mezclar dos archivos ejecutables en uno de forma que
solo se vea el resultado de uno de ellos, por lo que puede que
solamente con instalar algún programa que no hallamos
bajado de la red ya se ha podido instalar. De todas formas no os
preocupéis ya que no hay demasiados programas por la red
con troyanos (a mi solo me ha pasado una vez y no conozco a
ninguna otra persona que haya sido infectado de esta forma, es
mucho mas normal a través del irc).
[Duiops]

Los siguientes efectos en la PC pueden ser por el ataque
de un troyano.

  • Aparición y/o desaparición de
    archivos.
  • Ralentización del sistema.
  • Aparición de archivos temporales sin
    justificación. Al instalar programas lo normal es que se
    creen archivos en las carpetas temporales referentes a los
    archivos utilizados en su instalación.
  • Bloqueos continuos del PC.
  • Reinicios continuos del PC.
  • Desconexiones continúas del MODEM.
  • Inicialización/Finalización de
    programas sin justificación.
  • La bandeja del CD se abre/cierra sin motivo
    alguno.
  • El teclado deja de funcionar.
  • Actividad en el MODEM cuando no se está
    realizando ningún tipo de comunicación vía
    red. Las luces parpadeantes del MODEM (externo) o el LED de
    actividad del disco duro (interno) pueden indicar este tipo de
    actividad.
  • El servidor de Internet no reconoce nuestro nombre y
    contraseña o indica que ya está siendo utilizado.
    Lo mismo con el correo.
  • Aparición en el cliente de correo de mensajes
    enviados y desconocidos por nosotros.
  • Ejecución de sonidos sin
    justificación.
  • Presencia de ficheros TXT o sin extensión en
    el HD (normalmente en "c:") en los que reconocemos
    palabras/frases/conversaciones/comandos,… que hemos escrito
    anteriormente (captura del teclado por parte del
    atacante).
  • Presencia de archivos y/o carpetas con caracteres
    extraños, como por ejemplo "|î
    ìäñòó
    càïóñêà", que es el path
    por defecto del NetBus 2.X.
  • Aparición de una ventana con un mensaje tipo:
    "TE HE METIDO UN TROYANO". Este podría ser ya es un
    síntoma muy claro de una infección de troyano.
    [Duiops]

Partes: 1, 2, 3
 Página anterior Volver al principio del trabajoPágina siguiente 

Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

Categorias
Newsletter